Ransomware: Come ti metto in scacco la PMI
21 Gennaio 2016
Roberto Baldoni – Intervista al Cyber Crime Conference 2014
9 Febbraio 2016

Employability and Competition

Ogni professionista sia esso dipendente, consulente o imprenditore studia e acquisisce certificazioni per rendersi maggiormente impiegabile e competere meglio con gli altri.

Il mercato del lavoro in Italia non ha ancora ben compreso la grande rivoluzione digitale in atto e, per rendersi conto di questo, basta osservare i mansionari dei contratti nazionali di lavoro, le job-description delle società di ricerca e selezione del personale o le specifiche tecniche e di servizio di qualsiasi contratto per la somministrazione di “prodotti” e consulenze nel settore ICT. Ai vecchi operatori di sistema e analisti programmatori si sostituiscono ora: Business Analyst, Network Specialist, Project Manager, Chief Information Officer, Digital Media Specialist, ICT Security Manager, e così via. Le imprese virtuose e protagoniste nei mercati internazionali, unitamente ai professionisti e manager, hanno però bisogno di una definizione diffusa e condivisa dei profili professionali ICT per una serie infinita di ragioni tra cui l’impiegabilità e la competizione che sono poi anche la spinta per qualsiasi processo di certificazione delle persone. Ogni professionista sia esso dipendente, consulente o imprenditore studia e acquisisce certificazioni per rendersi maggiormente impiegabile e competere meglio con gli altri. Se osserviamo il mercato del lavoro in generale e in particolare il lavoro professionale, ovvero quell’attività prevalentemente intellettuale che presuppone un alto livello di autonomia decisionale e specifiche competenze, dobbiamo dunque considerare questi due aspetti, quali l’impiegabilità, intesa come il “riconoscimento” da parte del mercato di una certa professionalità, al fine di “impiegare” e “reimpiegare” dal punto di vista lavorativo o professionale, un dato professionista, e la competizione, intesa come la disponibilità di questo professionista a misurarsi con i propri “concorrenti” e con il “mercato” in termini di competenza e performance.

Questi aspetti tipici di un approccio anglosassone alla professione, sono alla base tra l’altro della Legge 4/20131 e Dlgs 13/20132 che completano un quadro normativo, quello professionale, da tempo carente e che lasciava fuori gioco tutte le professioni non regolate da Ordini o Albi, relegandole tra il limbo normativo dei lavori autonomi fuori da ogni analisi statistica o azione sistemica di politica di sviluppo, formativa e di welfare. Il ruolo delle Associazioni Professionali come quello degli Ordini Professionali in questo contesto è determinante per il successo dell’attività di verifica delle competenze, come oggi sancito sia dalle leggi nazionali che dalla norme europee, comitati di indirizzo e controllo, sportelli del consumatore, comitati scientifici ed altre strutture, infatti, dovranno essere sviluppate e supportate dalle Associazioni Professionali e dagli Ordini al fine di creare una vera e propria rete delle competenze e delle conoscenze e essere pronti a fornire al mercato del lavoro e dell’impresa quei 200.000 professionisti ICT che da qui al 2020 mancheranno in Italia e quel 1.000.0003 di specialisti informatici che mancheranno in tutta Europa.

Associazione Informatici Professionisti, da sempre impegnata per la valorizzazione degli skills professionali, è la prima associazione informatica italiana ad applicare per i propri associati, la norma di certificazione per le competenze informatiche UNI 115064 a cui la stessa AIP-ITCS ha contribuito alla stesura. Una norma che intende definire i criteri generali delle figure professionali operanti nel settore ICT, stabilendo i requisiti fondamentali per l’insieme di conoscenze, abilità e competenze che le contraddistinguono.

Il progetto si applica alle figure professionali che operano in ambito ICT, indipendentemente dalle modalità operative e dalla tipologia di rapporto di lavoro. La norma adotta il quadro europeo di riferimento e di definizione delle competenze e dei relativi skill “e-Competence Framework”5 e sue future evoluzioni, contestualizzato alla realtà nazionale. Determinante per la riuscita del progetto, la partnership con KiwaCermet Italia, nata recentemente dalla fusione dell’olandese Kiwa e la italiana Cermet e accreditata in Accredia secondo la nuova norma ISO/IEC 17024:20126 che detta le disposizioni per gli organismi di certificazione di persone. La norma UNI 11506 nasce con l’obiettivo di aiutare tutti gli stakeholder a comprendere la complessità di una professione in continua evoluzione e sebbene migliorabile interpreta già quel panorama professionale prima descritto e oggetto del modello previsionale di Empirica e anche a nostro giudizio definibile nelle 6 famiglie: Business Management, Technical Management, Design, Development, Service & Operation Support e i relativi 23 profili di cui alla linea guida CWA16458 sotto descritti

Il framework proposto nella linea guida CWA16458 fornisce peraltro un valido strumento per costruire nuovi profili in maniera strutturata e riferibile ad un set di competenze proprie della norma UNI 11506 e sue auspicate future evoluzioni. I primi professionisti certificati da KiwaCermet Italia e AIP-ITCS, quale centro di esame, sono gli specialisti e i manager esperti in sicurezza informatica. I 14 professionisti, tutti membri di Associazione Informatici Professionisti, hanno sostenuto uno specifico esame per conseguire una certificazione professionale delle competenze anche in conformità alla Legge 4/2013 e Dlgs 13/2013. I profili professionali sono stati scelti tra i 23 previsti nel documento CWA16458:20127 correlato alla norma UNI 11506 e sono l’ICT Security Specialist e l’ICT Security Manager. Per la redazione dello schema di certificazione, dei syllabus e dei test di esame sia orale che scritto è stato determinante l’apporto scientifico e culturale di Clusit (Associazione Italiana per la sicurezza informatica) e di Associazione Informatici Professionisti. Il comitato di schema, creato in seno all’organismo KIWA- Cermet è costituito da professionisti di fama internazionale come il Prof. Roberto Giacobazzi, Ordinario di Informatica presso il Dipartimento di Informatica dell’Università degli Studi di Verona, il Prof. Corrado Giustozzi membro del Permanent Stakeholders’ Group di Enisa (European Union Agency for Network and Information Security), l’Avvocato Alessandro Frillici Coordinatore di OPSI (Osservatorio privacy e sicurezza informatica di AIP-ITCS), Alessio Pennasilico board of directors di Clusit e Associazione Informatici Professionisti.

Il modello di riferimento, correttamente, al momento distingue, per l’area ICT Security, due grandi categorie di professionisti della sicurezza delle informazioni: il Manager (ICT Security Manager, CWA 11) e l’operativo (ICT Security Specialist, CWA 12). Questa divisione tra chi fa strategia, e chi si assicura che la strategia venga adeguatamente applicata, è non solo opportuna, non solo necessaria, ma emerge in maniera molto precisa negli schemi di esame di Kiwa Cermet. Il Security Manager, infatti, della tecnologia si può permettere una conoscenza “superficiale”, perché il suo ruolo è governare tutte le misure necessarie a garantire riservatezza, integrità e disponibilità del dato.

Questo, evidentemente si ottiene tramite misure non solo tecniche, ma anche organizzative e legali. Per questa ragione molte sono le norme e gli standard che devono essere conosciuti.

Dall’impatto di norme cogenti, quali il cosiddetto decreto Privacy (D.Lgs. 196/03) e i vari aggiornamenti o “estensioni” (es. cd. “Decreto amministratori di sistema”) o il decreto sulla responsabilità amministrativa delle società (D.Lgs. 231/01), all’adeguamento a standard specifici per alcuni settori (es. PCI-DSS per chi deve gestire transazioni con carta di credito o Solvency per le Assicurazioni) fino all’adozione di standard internazionali, quali la ISO/IEC 27001:2013, il Security Manager deve poter essere certo di avere implementato tutti i necessari processi e controlli. Il Security Manager, infatti, deve conoscere e saper valutare i diversi rischi, poterli mitigare, sapere quando diventa accettabile il rischio residuo ed eventualmente quando trasferirlo. Deve saper gestire il proprio team, interagire con i propri pari, con la direzione. Il Business Impact delle scelte tecnologiche deve essergli chiaro ed essere stabilito tramite il modello GRCI (Governance, Risk Management, Compliance, Incident Management), per poi essere gestito nelle istruzioni impartite ai propri collaboratori o nel supporto alla direzione per la scelta delle strategie più adatte.

Il Security Specialist, d’altro canto, non deve essere visto come un mero tecnico operativo.

Per quanto gli sia richiesta una forte competenza tecnologica, non può prescindere dalla conoscenza superficiale di molti temi, non ultimo quello della compliance. Deve infatti essere in grado di collaborare efficacemente con il Manager nell’adozione di tutte le misure necessarie a proteggere il business aziendale. Se il Manager sta gestendo una certificazione PCI-DSS o un adeguamento Privacy, lo Specialist deve avere almeno un’infarinatura circa i requisiti di tali leggi o, in ultima analisi, deve essere in grado non solo di interpretare, ma anche di supportare il manager. Soltanto una fattiva collaborazione di entrambe le figure, a supporto della direzione, degli uffici legale, compliance, risk management, ed ovviamente IT, può garantire che l’azienda sia in grado di tutelare in modo corretto le informazioni e gli strumenti che utilizza quotidianamente per realizzare i proprio obbiettivi di business.

Per informazioni sulle prossime sessioni di esame per la certificazione delle competenze scrivere a: segreteria@aipnet.it

Alessio Pennasilico
Security Evangelist @ Alba S.T.
Board of Directors Clusit
Board of Directors Associazione Informatici Professionisti

Andrea Violetti
Presidente Associazione Informatici Professionisti
Vice Presidente Confassociazioni con delega all’Agenda Digitale

RIFERIMENTI WEB:

http://www.giustizia.it/giustizia

http://www.ecompetences.eu

http://www.ecompetences.eu/wp-content/uploads/2014/02/European-e-Competence-Framework-3.0_CEN_CWA_16234-1_2014.pdf

http://www.mondoprofessionisti.it/articoli_s-5-10762-1-Competenze_ per_competere_.html

http://www.finanzaediritto.it/articoli/intervista-ad-andrea-violettivp-confassociazioni-con-delegaad-agenda-digitale-sistemi-diattestazione-e-qualità-12854.html

http://www.corrierecomunicazioni.it/it-world/25214_a-bologna-i-primi-specialisti-informatici-della-sicurezza.htm

http://www.ecompetences.eu/site/objects/download/6817_eCFcaseKprofessionalassociations.pdf

NOTE

  1. LEGGE 4, 14 gennaio 2013 – Disposizioni in materia di professioni non organizzate. GU n.22 del 26- 1-2013.
  2. DECRETO LEGISLATIVO 13, 16 gennaio 2013 – Definizione delle norme generali e dei livelli essenziali delle prestazioni per l’individuazione e validazione degli apprendimenti non formali e informali e degli standard minimi di servizio del sistema nazionale di certificazione delle competenze. GU n.39 del 15-2-2013.
  3. Source: Empirica model forecast
  4. Norma UNI11506:2013 Definizione dei requisiti di conoscenza, abilità e competenze di figure professionali operanti nel settore ICT.
  5. http://www.ecompetences.eu
  6. ISO/IEC 17024:2012 – Conformity assessment. General requirements for bodies operating certification of persons.
  7. http://www.ecompetences.eu/site/objects/download/6424_EUICTProfessionalProfilesCWAIT.pdf

Articolo pubblicato sulla rivista ICT Security – Novembre/Dicembre 2014

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy